遠端登入新選擇，Google 推 BeyondCorp Remote Access 免受 VPN 之苦

隨著武漢肺炎疫情讓越來越多人開始遠端工作，怎麼讓員工們安全地連到內網也成了重要的企業資安環節之一。但除了傳統的 VPN 之外現在似乎也有了新選擇，Google 最近推出了「BeyondCorp Remote Access 」可以讓企業員工不用透過 VPN 或試過防火牆就能連上企業內部的 Web 應用程式。

Google 表示特別在武漢肺炎疫情之下，傳統 VPN 架構很難在短時間部署，應付突如其來的大量遠程連線需求，因此推出更簡便的 BeyondCorp 架構來供企業使用。BeyondCorp 主要會用整個內部資料庫進行身份驗證，並且讓一般員工不用額外裝其他軟體就能登入。

但事實上 BeyondCorp 並不能算是全新產品，Google 自己從 2011 年就開始為自家內部使用，基於零信任資安架構所打造的系統；而在 2017 就已經為 G Suite 引入 Cloud Identity，並且其中一項核心服務 Cloud Identity-Aware Proxy（Cloud IAP）就能依照使用者的身分和情境資訊（像是使用者的地理位置、裝置安全性狀態和 IP 位址等）驗證使用者身分和要求內容並判斷是否將應用程式或虛擬機存取權授予某位使用者。（這在 Google 被稱為情境感知存取權）

不過這次 Google 則是把 Cloud IAP 重新打包成 BeyondCorp Remote Access，並且將其獨立成不限部署在雲端或是內部伺服器的端對端解決方案。再講白話一點，就是不管你的企業內網、後台是建構在 GCP、其他雲端還用企業內部伺服器，都可以在中間插入 BeyondCorp Remote Access 來取代 VPN。

Tips：什麼是零信任資安架構？它並不是字面上的沒有信用，而是相對傳統資安「信任需要驗證」的新興資安概念。傳統資安作法把「信任」跟「驗證」綑綁在一起，並把網路分成外網、內網，有專屬帳號、密碼再透過 VPN 讓員工登入內網；但這讓安全機制過於集中化，只要駭客偷到憑證或暴力破解帳密就能輕鬆溜進內網。

相對的，零信任倒過來用「驗證而且永不信任」來思考資安問題，重新顛覆外網、內網概念，認為不該單純信任網路內部、外部任何人、裝置或是系統。實質上有兩個主流做法，一是在每次登入時除了帳密之外，同時檢視使用者地理位置、裝置安全性狀態和 IP 位址；二是依照這些資訊，為使用者分出更多層的應用程式內權限或依據即時資料限制存取權。